Beveiliging iPhone op hetzelfde peil als Windows 95

Volgens security-specialisten heeft Apple de firmware van de iPhone op hetzelfde beveiligingsmodel gebaseerd dat Microsoft in Windows 95 gebruikte. De concurrentie in Redmond had meer dan tien jaar nodig om er vanaf te komen. Het heeft allemaal te maken met het feit dat alle applicaties op de telefoon met volledige systeemrechten draaien.

Telkens wanneer je in Windows Vista weer zo’n vervelende melding krijgt, waarbij je toestemming moet geven om zelfs maar de meest eenvoudige handeling uit te voeren, weet je in ieder geval dat je iets veiliger bent dan voorheen in Windows XP. Telkens wanneer je in zo’n UAC-dialoog OK geeft, krijgt alleen die éne applicatie toestemming om die éne activiteit uit te voeren. Op de iPhone is dat anders: daar draaien alle applicaties met rootrechten en hebben dus volledige toegang tot alle processen en resources. We schreven er al eens eerder over, maar nu mengt zich opnieuw een beveiligingsdeskundige in de discussie: Dan Geer, vice president en hoofdwetenschapper van Verdasys. Volgens Geer heeft Apple niets geleerd van de fouten die bij concurrent Microsoft onder andere de opkomst van het Melissa-virus en alle latere malware mogelijk hebben gemaakt.

H.D. Moore, die eerder al het Metasploit Framework-tool voor de iPhone aankondigde, maakte vorige week opnieuw een kwetsbaarheid bekend: een fout in de TIFF-bibliotheek van de iPhone, die door de e-mailapplicatie, browser en muzieksoftware wordt gebruikt. Er zijn in het ontwerp van de iPhone fundamentele fouten gemaakt. Van de Mac werd altijd gezegd dat het geen interessant doelwit voor hackers was, omdat er procentueel zo weinig gebruikers zijn. Maar door de enorme populariteit van de iPhone en de manier waarop met rechten wordt omgesprongen is het een tikkende tijdbom.